Vlákno názorů k článku
OpenWrt 23.05.0 mění kryptografickou knihovnu a podporuje Rust od Danny - Jen to mbedtls v aktualne pouzite verzi.... jaksi...

Jen to mbedtls v aktualne pouzite verzi.... jaksi postrada podporu pro TLS 1.3... v tomhle smeru spise krok zpet.

TLS podporuje vše co už máš v PC... od prohlížeče až po OS...
Proč i v routeru?

No pokud by dělal jen základní věci, tak router myslím TLS moc nevyužije. A jinak pojaté routery, s cílem umět i spoustu jiných věcí (třeba Turris), si tam prostě dají jinou TLS knihovnu.

DNS over TLS (nebo HTTPS) je tak možná kandidát co je nejvíce na ráně pro nezanedbatelný TLS provoz z relativně minimalistického routeru. Ale třeba jsem zaujatý.

15. 10. 2023, 19:55 editováno autorem komentáře

I z routeru muzou byt legitimni duvody se nekam pripojovat po TLS 1.3 a stejne tak vyuzivat sluzby routeru po TLS 1.3 (a ano, vim ze image jde zcustomizovat, ale default je proste podle me nestastny, kdyz starsi verze Openwrt podporu pro TLS 1.3 maji a nejnovejsi ne). Rozdil mezi wolfssl a mbedtls ve velikosti zas tak veliky neni - v porovnani s tradicnim openssl, co je taky jedna z moznosti. Navic v pripad mbedtls se drzi (pro vyvoj urcite pohodlnejsi) LTS verze, tedy 2.28.x featurama zamrzlou nekde v prosinci 2021 - i kdyz v upstreamu je i aktualni v3.5, co toho umi take vic...

Server: router má webové administrační rozhraní, které by mohlo být s HTTPS.

OpenVPN se tlačí přes TLS, takže pokud chceš mít na routeru VPN server, tak to potřebuješ.

Klient: Totéž s OpenVPN klientem.

Na routeru si můžeš chtít spustit skript, který třeba kontroluje nějakou externí webovou službu (předpověď počasí), a podle toho spustí akci (závlaha, ventilace, kotel).

No a v neposlední řadě si ten router musí nějak umět stáhnout updaty, což by byl v případě HTTP bez TLS docela hazard. Jako jo, jde to udělat i přes SSH, nebo to do routeru dopravovat na USB flashce, ale proč...

Přesně tak, stahování updatů, VPN, administrační rozhraní, to všechno potřebuje TLS. A pokud by si někdo myslel, že stačí TLS 1.2 – to už docela dlouho není dostatečně bezpečné. Toleruje se jenom proto, že někde je problém TLS povýšit (když je to někde víceméně zadrátované do hardwaru), nicméně ta tolerance není neomezená a na spoustě míst, kde se dříve tolerovalo TLS 1.2 se dnes už netoleruje.

Distribuce většinou nespoléhají při stahování updatů na zabezpečení transportů, a běžně se jede přes HTTP. Je to kvůli tomu, že mirrorům se „nedá věřit“ - provozují to různé univerzity, ISP… bylo by nevhodné, kdyby všichni mohli podvrhnout balíčky. Stahované soubory jsou podepsané a ověřují se zvlášť. Tak to dělá i OpenWRT, teda alespoň když to zrovna funguje :-D